Projet

Général

Profil

Tâche #11977

Scénario #11155: Renforcer la configuration SSH en accord avec les préconisations de l’ANSSI

Renforcer la configuration SSH en accord avec les préconisations de l’ANSSI

Ajouté par Scrum Master il y a presque 9 ans. Mis à jour il y a presque 9 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Début:
01/06/2015
Echéance:
% réalisé:

100%

Temps estimé:
4.00 h
Temps passé:
Restant à faire (heures):
0.0

sshd_config.txt Voir (3,08 ko) Daniel Dehennin, 15/06/2015 15:34


Demandes liées

Lié à Amon - Demande #16651: Tunnel SSH via Amon 2.5 Classée sans suite 28/06/2016
Lié à eole-common - Demande #15846: Ajouter dans variables dans sshd_config Classée sans suite 13/04/2016
Lié à Distribution EOLE - Demande #16177: il n'est plus possible de faire un tunnel ssh Classée sans suite 25/05/2016
Lié à Distribution EOLE - Tâche #18105: Améliorer la définition de la variable "ssh_maxstartups" dans le dictionnaire Fermé 28/11/2016

Révisions associées

Révision 7e9ee905 (diff)
Ajouté par Emmanuel GARETTE il y a presque 9 ans

mise à jour du template SSH (ref #11977 @2h)

Révision 7d826e02 (diff)
Ajouté par Daniel Dehennin il y a presque 9 ans

Supporter les connexions SSH en provenance de 2.3

Les serveurs 2.3 doivent pouvoir se connecter à Zéphir.

  • tmpl/sshd_config: Suppression du paramètre « KexAlgorithms »

Ref: #11977

Historique

#1 Mis à jour par Scrum Master il y a presque 9 ans

  • Temps estimé mis à 4.00 h
  • Restant à faire (heures) mis à 4.0

#2 Mis à jour par Daniel Dehennin il y a presque 9 ans

Un fichier de configuration basé sur les recomendations de l’ANSSI, à intégrer au template EOLE.

#3 Mis à jour par Scrum Master il y a presque 9 ans

  • Statut changé de Nouveau à En cours

#4 Mis à jour par Emmanuel GARETTE il y a presque 9 ans

En vrac :

variables identiques :

Port 22
Protocol 2
PubkeyAuthentication yes
UsePrivilegeSeparation yes
StrictModes yes
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_rsa_key
LogLevel INFO
SyslogFacility AUTH
Subsystem sftp /usr/lib/sftp-server
PrintMotd no
HostbasedAuthentication no
IgnoreRhosts yes
AuthorizedKeysFile %h/.ssh/authorized_keys

variables existantes avec valeurs différentes :

ANSSI | EOLE
HostKey /etc/ssh/ssh_host_ed25519_key => /etc/ssh/ssh_host_dsa_key
TCPKeepAlive no => yes
AcceptEnv LANG LC_* => LANG LANGUAGE LC_* EDITOR
X11forwarding no => yes
LoginGraceTime 30 => 600
PermitRootLogin no => (forcé à yes dans le cas de la haute dispo)

variables uniquement ANSSI

GSSAPIAuthentication yes
GSSAPIKeyExchange yes
GSSAPICleanupCredentials yes
PasswordAuthentication no
Ciphers ,aes256-ctr,aes192-ctr,aes128-ctr
MACs ,,,,hmac-sha2-512,hmac-sha2-256,hmac-sha1-96,hmac-sha1
KexAlgorithms
IgnoreUserKnownHosts yes
PermitEmptyPasswords no
ChallengeResponseAuthentication no
PermitUserEnvironment no
AllowTcpForwarding no
Banner none
PrintLastLog yes
Compression delayed
ClientAliveInterval 30
ClientAliveCountMax 10
MaxStartups 5:30:10

variables uniquement EOLE

KeyRegenerationInterval 3600
ServerKeyBits 2048
UseDNS no
UsePAM yes
X11DisplayOffset 10
RSAAuthentication yes
RhostsRSAAuthentication no
AllowGroups xxxxxxxxxxxx

#5 Mis à jour par Emmanuel GARETTE il y a presque 9 ans

  • Assigné à mis à Emmanuel GARETTE

#6 Mis à jour par Daniel Dehennin il y a presque 9 ans

  • Statut changé de En cours à Fermé
  • % réalisé changé de 0 à 100
  • Restant à faire (heures) changé de 4.0 à 0.0

Toutes les recommandations ne sont pas faites car certaines requierent des développements (ref: #12123).

#7 Mis à jour par Joël Cuissinat il y a plus de 7 ans

  • Lié à Tâche #18105: Améliorer la définition de la variable "ssh_maxstartups" dans le dictionnaire ajouté

Formats disponibles : Atom PDF